xman 2018 冬季 入营 pwn wp

pwn store

  • x64 elf | FULL RELRO , NX , STACK CANARY , PIE
  • 功能分析:
    • add order
      • 创建 的 chunk 和 指定size的 chunk (0
      • 输入 Good's name (指定 size 的 chunk) 时使用read且未强制加上\x00 结尾 | 可以使用 unsorted bin leak
    • edit | 修改指定
      • 判断 order_num && index <= 0x10 && name_list[3 * index]
      • 输入new name | 此处使用 strcpy 将输入在栈上的 new name 存入 name_list 中对应的地址 , 但是栈上输入的 new_name 的位置 和 add 中 size 的存储位置相连,造成了一个 off_by_one 的溢出
      • 输入 new goods
    • show | 未实现
    • pay
      • 判断 order_num && order_list[3 * index]
      • free(name_list[3 * index])
      • free(order_list[3 * index])
      • memset( &order_id_list[3*index] , 0 , 0x18 ) # 将对应选项置为空
    • 利用过程:
        1. 使用 add 的 unsorted bin leak 得到 main_arena + 0x60 的 地址 , 计算得出 libc 加载地址 以及下面需要劫持的符号的地址 (__free_hook)
        • 1.1 注意此题 libc 版本时 libc 2.27 | 开启了 tcache
        • 1.2 利用的时候 注意 , 每个 idx tcache 存储的chunk数量是 7 , LIFO , 满后存入 unsorted bin 或 fastbin
          • 1.2.1 调用时 优先调用 tcache 存储的 chunk
          • 1.2.2 使用 tcache 时 靠近 top chunk 的 chunk 在 free 时 不会并入 top chunk
        1. free chunk 进入 tcache
        1. 使用 edit 的 offbyone 覆盖 对应chunk的size位 , 然后 造成堆溢出 , 从而能覆盖 进入 tcache 的 chunk的 next 指针 | alloc to arbitrarily
        1. 连续两次分配出对应大小的 chunk , 设置其中一个 order 的 name 为 "/bin/sh\x00" , 控制 __free_hook 指向system
      • free(name) | system(/bin/sh\x00)

exp


pwn_base

  • x86 elf | nx
  • 流程分析:
    • 输入一段0x30长度的字符串 , base64 后执行
  • 考察点:
    • ascll shellcode
    • alpha3
    • 因为长度限制,不能直接使用 msf 或者 alpha3 生成的shellcode
    • shellcode 要求
        1. read(0 , &sc , N) ( &sc 为 第一段 shellcode 的 地址 , 存储在调用后的 eax 中 , 目的是读入 第二段 shellcode | N > len(shellcode1 + shellcode2))
        • 1.1 这段shellcode 要求全部由 base64的可用字符组成
        • 1.2 pop ebx | inc eax .. 等指令不可使用
        • 1.3 查找 https://nets.ec/Ascii_shellcode
        • 1.4 int 0x80 , 需要用 两个可见字符和寄存器中的值 异或或者做出其他的处理得出,考虑到长度限制,异或会是一个比较好的选择
        1. 输入第二段shellcode即可
        • 2.1 需要填充 前 0x32 个字符

exp


arm pwn

  • arm pwn | stack canary , nx
  • 流程分析:
    • 输入1:
      • 1.输入name
      • 2.然后使用 snprintf 组合成一个字符串 输入 &s, 返回值为长度n (组合后的字符串长度 而非 最后写入的长度)
        1. write(1 , &s , n) | canary ,的位置是 &s+0x14 (所以 输入 大于 9字节即可leak canary)
    • 输入2:
      1. 输入地址 &s [ebp - 0x1c] 输入长度 0x100 | 栈溢出
      1. | 栈分布 | [input start(padding * 0x18) , canary , ebp , ret]
  • 利用过程:
      1. leak canary
      1. 栈溢出 执行 system("/bin/sh")
      • rop gadget | 设置 r0 为 &“/bin/sh” ,r3 为 system 地址 | 因为没有直接的 pop r0
        • pop {r4, r5, r6, r7, r8, sb, sl, pc};
        • pop {r3, pc};
        • mov r0 , r7 ; bx r3 ;
    • 坑点:
      • arm 推荐动态调试 , ida 分析的栈分布和动态调试时实际的栈分布不太相同。。。。

exp

你可能感兴趣的:(xman 2018 冬季 入营 pwn wp)